Vidéo : Demander à des gens dans la rue leur mot de passe (Jimmy Kimmel)

ils essayent pas de copier sur C+ la?

je sais pas si Canal + a déjà fait ça mais j'ai bien ri devant la stupidité de ces gens !

Quand le dernier donne le nom de sa grand-mère et remarque qu'il vient de donner son mdp, sa tête vaut de l'or!!!

Maria comme mot de passe est assez simple je trouve.

Le mien est composé de 10 caractères de chiffres, de lettres et de majuscules sans aucun lien avec ma vie.

Un jours j’étais chez une copine et je voulais déverrouiller son pc pour mettre de la musique.
Ben le 1er essaie à été concluant j'en revenais pas, j'ai juste écrit son prénom... :roll:

Mon mot de passe est un peut comme mon vdd, 10 caractères dont 2 chiffres en pleins milieux.
Les lettres ne veulent rien dire et le chiffre n'a aucun rapport avec moi.

Un mot de passe doit être compliqué, mais c'est surtout le fait qu'ils le donnent aussi facilement qui est horrible...

Bah c'est bon, ils courent aucun risque, ils donnent aucune autre info

Perso , en règle général mon mot de passe est vraiment tout con pour les sites internet ou truque dans le genre mais quand il s'agit d'un truque plus important (comme mon pc) la faut s'accrocher car quand c'est 25 cara max c'est le cas et c'est du genre dle3eemf5458elekf48..... ect je vais pas le donner biensure xD. Le truque c'est de faire une combinaison logique pour vous et de sans souvenir. mais par exemple vous faites votre date de naissance moins celle de votre père/mère/frère copine (le but étant de le savoir).

M'enfin, là dans la vidéo ils sont con et leurs mot de passe facile à passer.

@Dagla ton mot de passe est super faible, je vois pas de majuscules

Pas mal de sites stockent en clair les MDP dans leur bases de données.

Quelle que soit la complexité de vos MDP, il y a de grandes chances qu'un employé malveillant puisse le lire sans problèmes, et c'est tous vos accès qui sont compromis.

Il ne faut pas avoir qu'un mot de passe, surtout pas.

Il faut "générer" son mot de passe : avoir une structure identique, et rajouter quelques éléments selon le site sur lequel on se loggue.

Une petite routine facile à retenir : un vrac de lettres/chiffres/caractères de base, auquel on insère le "F" de Facebook, ou la lettre suivante, ou un "8" (puisque Facebook a 8 lettres)...

Créez des mots de passe sans mots, uniques et très faciles à retrouver.

Ca c'est bien plus sûr.

c'était un exemple, il y a des majuscules je te rassure (même si c'étais de l'ironie xD).

[Compte supprimé]

@Glubglub > Malheureusement, ta routine est très simple à deviner une fois qu'on a le mot de passe. Le mieux est d'utiliser des routines compliquées, qui prennent quelques secondes à calculer, ce qui est moyennement contraignant grâce aux cookies.
Par exemple, mettre les parties variables au coeur du mot de passe, mettre en majuscule si le nombre de lettres est pair, en minuscules s'il est impair, prendre la lettre suivante de l'alphabet si ça commence par une consonne, la précédente si ça commence par une voyelle, compter le nombre de chiffres dans le nom et mettre la dernière lettre de ce nombre en anglais et la première lettre en français.
Bref, trouver des astuces simples, faciles à retenir pour soi, et faire confiance à la NSA pour retrouver ses mots de passes oubliés.

Perso mes comptes Paypal et Steam possèdent des mots de passe de facilement 30 caractères chacun qui n'ont absolument aucun sens et tapés au hasard sur le clavier. Mais j'ai une technique pour me souvenir mais ça c'est secret ^^

Je pense qu'en donnant des informations ici, même si elles ne nous semblent pas explicites, nous tombons un peu dans le piège dans lequel ils sont tombés. Au-début la personne dit " c'est pour vérifier si votre mot de passe est sûr " c'est une phrase qui incite à donner des informations / à diriger vers le mot de passe. Ici, cette incitation est là aussi par le fait que nous voulons montrer que nous ne sommes pas si stupides -> on donne un peu d'informations sur nos mots de passe. Finalement ça fonctionne bien comme technique.

Le dernier mérite un oscar.

Mais ils sont cons:-o

Jamais tu donnes ton mdp:-o


Quand je pense à la clé Wifi de ma box qui contient plus de 50 caractères...

Il y a rien de dingue non plus. A part mon MDP de banque qui est plus compliqué, sinon c'est du simple, parce que j'ai rien d'important, et que les gens ne peuvent rien en faire.

Vas y, postes sur JV.com, sur 9Gag ou Koreus avec mon compte si tu veux.

Ca me rappelle c'te blague :




Créez votre mot de passe :

carotte

Désolé, votre mot de passe doit faire plus de 8 caractères.

carottegéante

Désolé, votre mot de passe doit contenir un chiffre.

1carottegéante

Désolé, votre mot de passe ne doit pas contenir de caractère accentué.

50putaindecarottesgeantes

Désolé, votre mot de passe doit contenir au moins une majuscule.

50PUTAINdecarottesgeantes

Désolé, votre mot de passe ne doit pas contenir deux majuscules consécutives.

50PutainDeCarottesGeantesQueJeVaisTeMettreAuCulSiTuNeMedonnesPasImmediatementUnAcces!

Désolé, votre mot de passe ne doit pas contenir de caractère de ponctuation.

AttentionMaintenantJeVaisAllerTeTrouverEtTeMettreVraimentLes50CarottesGeantesdansletrouducul

Désolé, ce mot de passe est déjà utilisé.

Minimarket

Ouais enfin, ça passe aussi par l'éducation/connaissance.
Dire aux gens "mettez un mdp compliqué" sans vraiment leur expliquer pourquoi ça a moins d'impact que s'ils comprennent vraiment l'enjeu du truc.

De toute façon, je ne suis meme pas étonné de cette vidéo, ça fait un moment que je n'ai plus foie en l'humanité...
tenez la semaine dernière : belle maman arrive affolé parcequ'elle à reçu une validation 3d secure par sms pour un achat qu'elle n'a pas fait.
et la en creusant elle finit par te dire "qu'aujourd'hui, elle n'a fait qu'un paiement suite à un mail d'orange qui allait lui couper son tel"
Tu regardes le mail, c'est pas orange, tu regarde l'adresse du site ou elle à payé c'est pas orange et pas de https
Et puis elle t'explique qu'elle leur à aussi donné le mdp de sa messagerie...

elle à bien fait d'ailleurs, puisque un mail déjà ouvert y a ete envoyé par la banque pour valider un 3d secure

Orange te demande ton mdp et ça t'etonne pas? r: ben non
T'as pas verifié l'epediteur du mail? r : ben y'avai ecrit orange (mention spéciale au web mail d'orange qui ne montre pas l'adresse mail si tu ne creuse pas, il faut imprimer ou enregistrer le contact pour la voir)
Et le site de paiement, y'a pas le cadenas! t'as pas vu, et l'adresse du site, tu vois bien que ça n'a rien à voir avec orange!? r a ben, j'ai pas regardé...

Donc, tu donne ta cb sur le net comme ça à l'arrache sans te poser la moindre question? Ben tu sais moi...
La j'ai pensé très fort dan ma tête "Ben tu sais toi, si t'es aussi conne, tu l'utilises pas sur internet ta cb!" et j'ai dis, "contactes ta banque de suite pour faire opposition..."

@Glubglub :

Heu non, pas forcément en général ces mdp sont cryptée en md5 donc pour un mdp comme ça: IFft!4k07 ça prends déjà presque quelques semaines... En md5 ça va donner :
d01c2507fa9037a5ff1c1879e476155e
Et ça je peux te dire que c'est impossible à decrypter à l'oeil.. Déjà avec des pc performants ça va prendre en tout cas des mois. C'est juste des exemple on peut même créer des mdp compliqué telle que ça prends des dizaines d'années pour décrypter surtout que il y a des techniques plus compliqué.

Il était une fois le petit guillem (c'est mon prénom) et le petit guillem jouait beaucoup a Dofus (il le regretta beaucoup plus tard) ce petit guillem ce fit hacker par une méchant hackeur alors le petit guillem pleura, cria, ragea et ne voulut plus que ca arrive a nouveau,
alors le petit guillem ouvrit word, ferma les yeux et écris sur word n'importe quoi, il rouvrit les yeux il vit une serie de caractère très long et l'apris par coeur depuis le petit guillem est en sécurité
-cette technique et juste la MEILLEUR

@betabong :

C'est bien pour ça que j'ai commencé mon message par "pas mal de boites stockent leurs MDP en clair".

Il y en a bien plus que ce que tu crois.
Beaucoup ne le cachent même pas, en renvoyant le MDP en clair lorsqu'on clique sur "mot de passe perdu".

Je ne compte même plus les boites qui ne se contentent que d'un hash MD5, sans avoir "salé" le MDP.

Dans ce cas, une bonne rainbow table permet de récupérer un bon 30% des mots de passe hashés.

Minimarket vient de trouver mon mot de passe

Bon, alors le cryptage MD5 = caca !

Exemple de mot de passe stocké en MD5 : bdc87b9c894da5168059e00ebffb9077

Allez sur ce site : https://crackstation.net/
Puis coller le MD5 ci dessus. Ça prend beaucoup moins d'une seconde. (0.001 secondes en fait)

Moralité, stocker en MD5 = stocker en clair et c'est même pire! En effet, pour un MD5 plusieurs mot de passe source sont possibles.

Un raisonnement simple peut le prouver :
Prenons les mots de passe de 32 caractères et admettons que chaque mot de passe soit haché par une chaine différente. Nous avons une bijection entre l'ensemble des mots de passe en clair et ceux en MD5.
Bien, et quid des chaînes plus courtes ?

Maintenant on utilise "SCrypt" ou "BCrypt" avec un facteur de coût évoluant en même temps que le matériel.

Donc, ne parlez pas de MD5 pour des mots de passe. Même avec un "grain" (salt). Oubliez MD5. "c'est pas bien!"

@Programaths :

Les reverseurs de MD5 n'utilisent que des rainbow table.
Tu as certainement utilisé un mot très courant, ou généré le MD5 depuis ce même site...

A chaque génération d'un MD5, il l'ajoute à sa base de donnée, qu'il recherchera pour un décryptage futur...
Inverser un MD5 à la loyale renvoie des milliards de résultats possibles, et prendrait énormément de temps.

C'est justement pour contrer les rainbow table que l'on doit saler un mot de passe avant de le hasher.
Le problème n'est pas qu'au MD5, n'importe quelle méthode de hashage peut se faire inverser avec une bonne rainbow table s'il n'est pas salé.

Ton interrogation sur les bijections est une bonne démarche : il s'agit d'une collision, et on sait depuis toujours que le MD5 en comporte.
C'est justement pour les réduire que d'autres méthodes de hashage voient le jour.
Mais il reste beaucoup plus sécurisé de hasher ses MDP : les risques de collisions sont bien moins probables que les risques d'un employé malhonnête...

Et je ne suis pas d'accord, MD5 avec un bon sel de 40 caractères choisis au pif, tu ne pourras jamais l'inverser si facilement.
Voilà le hash de ton MDP ("Password1234") avec un bon gros sel, je te met au défi de l'inverser : 35665480d481bf3b29566df61afe67ae

Mais nous sommes d'accord dans tous les cas : il faut avoir un mot de passe différent par site.

Moi c'est simple, mon mdp sur Koreus c'est *********

Edit: Oh vache, les mots de passe sont automatiquement mis en étoiles dans les posts ! C'est nouveau ça ?

[Compte supprimé]

J'utilise un mot de passe simple, j'en ai trois, simples, je les utilise partout, et j'en ai rien à battre ^^

Mon MDP contient toujours une majuscule, une minuscule, un chiffre, et un signe de ponctuation au minimum. Je pense être très bien protégée puisque c'est un mdp de généré au hasard et appris par coeur. Après, ben c'est quasi le même pour la plupart de mes comptes, donc s'il est trouvé, j'suis pas dans la mouise. :roll:

J'ai retenu mon mdp wifi de 19 caractères... Faudrait que je l'utilise mais l'est un peu long :gratte:

Bref, voilà. Faut bien se protéger quoi. Comme pour tout. Je retiens l'idée du truc codé avec le nombre de lettres et cie pour changer un peu.

[Compte supprimé]

@BlooDemon :

Je sais que le MD5 est dépassé, je ne faisais que répondre à un post précédent qui clamait qu'il valait mieux les stocker en clair.
Non, clairement pas, c'est dépassé, mais déjà mieux que rien.

Pour avoir bossé dans pas mal de PME à travers une SSII, un bon quart stockent les MDP en clair, et une bonne moitié en MD5 sans sel.

L'immense majorité des cas, les patrons refusent d'allouer un employé pour se mettre à niveau. Ils refusent toujours de "faire du développement pour modifier ce qui marche déjà".
J'ai même entendu un chef de service prétendre que "renvoyer le MDP en clair était une feature pour le client, et qu'un hashage entraînerait une régression".

Pour un salt variable, j'en ai jamais vu.
C'est pas bête, effectivement, mais ça me paraît un peu chiant à gérer, si l'utilisateur peut changer son mail/nom/pseudo...

[Compte supprimé]

Le mot de passe est le pire système de sécurité jamais créé : trop simple pour un ordinateur, et trop compliqué pour un humain. Il faudrait que ce soit juste l'inverse... Il ne doit son utilisation que parce qu'il ne coûte pas cher.

Pour régler ce problème des mots de passe, j'utilise l'extension pwdhash. Elle tranforme une clé choisie par l'utilisateur en un hash différent par site et l'utilise comme mot de passe.
Exemple, si ma clé est "perlim+pinpin", la saisie de "@@perlim+pinpin" dans le champ mot de passe de koreus.com donnera : "IouQLhM7g+NMojM" à la place. Le même "@@perlim+pinpin" chez google.com donnera "MQ+DGeKrqMXr9kE". Bien sûr, tout cela est invisible : je ne retiens que la même clé "perlim+pinpin" pour tous les sites.

Ainsi, on obtient des mots de passe très forts, différent par site, en ayant à la base qu'un seul "mot de passe" simple à retenir.

[Compte supprimé]

J'ai choisi 3p4pk9y6 parce que c'est beaucoup plus sûr quand ça n'intègre pas des mots communs ou des mots en lien avec sa ville ou ses animaux de compagnie.

Dans un mot de passe, faut éviter tout ce qui est date de naissance, nom de famille, numéro de téléphones notamment.

Tout ce qui est en relation avec soi et qui pourrait être deviner facilement par une personne.

Je me souviens d'avoir eu le malheur d'utiliser mon numéro de téléphone fixe en guise de mdp... et évidemment un abruti de ma classe avait réussi à accéder à ma boîte mail.

Par contre, il y a un truc chiant sur certains sites où il te limite le nombre de caractères et t'impose en plus que des chiffres... comme certaines banques. :gratte:

Même avec leur mot de passe, tu peux rien faire là dans la rue... Moi, mes mots de passe c'est : lsjfmlskdkf@sm5245lksmlkdfksdq@ . Oui, c'est n'importe quoi, oui je dois "copie coller" mais au moins, je n'ai pas de soucis.

Je me souviens, j'avais envoyé un faux formulaire aux gens, genre un questionnaire et à la fin il fallait donner "un mot de passe" pour pouvoir vérifier les réponses ... c'est débile comme ça hin ? au début ils devaient donner leur pseudo... et souvent, j'ai remarqué que les gens donnés : pseudo réel (donc Skyrock ou autres) mot de passe réel... donc ben pas compliquer ... bref et souvent c'était du style "Moimoi123" et une c'était "lafamille" ... super dur.

Pour moi c'est un mot converti avec des @/0/€ + une suite de chiffres. J'en ai 2-3 qui tournent, pas plus.

Un mot de passe de 15 caractères remplie de chiffres, minuscules, majuscules et caractères spéciaux tel que "Re'4§ààçHSK" n'est pas un bon mot de passe.

"jadorelesaspergeauxonions" est infiniment plus dur à craquer.

Ne buvez pas les paroles des pseudo scientifiques du mot de passe

[Compte supprimé]

@chopsuey
Citation :
t'étais pas obligé de chercher un mot de passe
tu démarre le pc en mode "sans échec"
dés le démarrage appuie sur F8
dans le menu dos tu peux modifier a ta guise le mot de passe de windows
les mots de passes c'est utile, mais si y'a un moyen a la con pour le détourner ça sert plus a rien
les gars qui hack les comptes sur internet le font sur un claquement de doigts :lol:

[Compte supprim

[Compte supprimé]

la clé de la survi c'est la double autentification un code sur le pc et une confirmation sur le telephone, pour te hacker faut que le mec possede ton mdp ET ton telephone et qu'il sache en plus le deverrouiller pour acceder a l'apply d'authentification moi c'est ce que j'utilise sur tout les sites /jeux etc qui permettent de le faire , ma banque s'y est mis je suis assez serein desormais